Имя пользователя:
Пароль:
 

Показать сообщение отдельно

Всем до свидания!


Moderator


Сообщения: 8314
Благодарности: 2863

Профиль | Отправить PM | Цитировать


2 all
upd от 07.07.10 - аддоны заменены, теперь пропатченные REGEDIT.EXE и taskmgr.exe не выводятся из списка защиты и подписаны.

за подписанные файлы спасибо jameszero, за реализацию аддонов "с подписью" - Habetdin


Цитата truvo:
а SVCPACK для установки "на живую" возможен или нет? »
теоритически - да (если действительно есть нужда, сделаю).
Практически есть сложности с цифровой подписью на живой системе, да и смысла особого нет - если у вас есть возможность принести на систему носитель со своими файлами (а как иначе в комп попадёт SVCPACK экзешник?) то можно просто принести пропатченные REGEDIT.EXE и taskmgr.exe , запустить их ну и делать с их помощью черное дело то, что нужно.


Цитата GreyAngel:
.Принцип действия патча? »
Цитата Amigos:
перед своим запуском они лезут в реестр в ветку [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] и смотрят там хитрые ключики (RegEdit — "DisableRegistryTools", а Taskmgr — "DisableTaskMgr") и если находят - отказываются работать. »
строчки которые ищут программы при запуске, лежат внутри EXE'шника, и в патченых файлах они искажены.
То есть теперь при запуске REGEDIT.EXE и taskmgr.exe прверяют на наличие другую строчку в реестре.
Коректнее было бы совсем убрать проверку в исполняемом коде, но мне это не по зубам, я ограничился искажением строчек.
Цитата GreyAngel:
.Для семёрки подобное возможно организовать? »
конечно. нужно найти в EXE при помощи HEX редактора строчки DisableRegistryTools или DisableTaskMgr (в Unicode) и каким либо образом их закосячить.
Правда придётся поборотся с семерочной защитой системных файлов, но тут я совсем не копенгаген.
Цитата jameszero:
выводить из списка защиты, но последнее чревато тем, что вирус, помимо блокировки файлов в реестре, может попробовать их удалить и ему легко это удастся. »
это в начале нулевых, когда WFP только появилась, удалить/заменить подписанный файл было сложнее чем неподписанный, сейчас - нет

и вообще расматривать WFP как "средство от зловредов" сильно неправильно, она не для этого создавалась и никогда не мешала реальным вирусам/вирусописателям.
Т.е. в реальной жизни система с включеной WFP ничуть не сильнее противостоит зловредам, чем с отключенной


Цитата XXXler:
указанные утилиты как раз больше подходят для устраивания детских шалостей, нежели для борьбы с нынешними вирусами »
шалости зависят от рук и от головы, а не от утилит.

"борьба с вирусами" в планы и не входила.

простой пример для чего требуются такие утилиты - я пришёл к пользователю "починить" неработающую программу. способ "починки" - удаление ветки с настройками программы в реестре.
А реестр заблокирован вирусом/трояном. Заниматся бесплатным лечением неизвестно насколько запущенной системы не хочется. Хочется быстренько "починить" нужную программу (которой вирусы не мешают) и бежать дальше. Тут то и помогают патченные утилиты.

Цитата simplix:
Вместо этого аддона лучше сделать inf-файл с нужными параметрами и запускать его при необходимости: »
этот файл нужно иметь с собой (таскать на флешке), а по закону подлости иммено тогда, когда нужно флешки со всем нужным под рукой не оказывается

к тому же есть зловреды которые блокирующие ключи реестра устанвливают не только при своём запуске, но и постоянно в процессе своей работы. т.е. inf ключи сбросит, но после этого зловред как правило успевает их поставить до запуска утилит.

хотя есть способ и в такой ситуации обойтись без патчинга файлов.
пишем CMD
Цитата:
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
regedit.exe
он сразу после удаления ключей запускает regedit.

Цитата simplix:
И как потом ограничивать пользователям доступ в корпоративной среде? »
а разве пользователям в корпоративной среде разрешается ставить на компы свои сборки виндос с произвольным набором аддонов?

В корпоративной среде винду ставит админ, и если он считает, что ему нужен функционал "самоограничения" в regedit и Taskmgr он просто не будет использовать этот аддон.
Это сообщение посчитали полезным следующие участники:

Отправлено: 07:34, 07-07-2010 | #16